Налаштування ключа та сертифіката для протоколу TLS

Використовуючи зашифрований зв’язок за протоколом TLS, щоб запобігти прослуховуванню, спуфінгу та підробці даних, обмін якими відбувається між апаратом та іншими пристроями, як-от комп’ютерами. Під час налаштування параметрів для зашифрованого зв’язку за протоколом TLS необхідно вказати ключ і сертифікат (сертифікат сервера) для шифрування. Ви можете використовувати ключ і сертифікат, попередньо встановлені на апараті, створити власні або отримати їх із центру сертифікації. Для налаштування цих параметрів потрібні прав адміністратора або мережевого адміністратора.
Щоб скористатися власним ключем і сертифікатом, створіть їх перед виконанням наведеної нижче процедури. Створення ключа та сертифіката для встановлення зв’язку з мережею
Щоб скористатися ключем і сертифікатом, отриманим із центра сертифікації, зареєструйте їх перед виконанням наведеної нижче процедури. Реєстрація ключа та сертифіката

Настроювання TLS

1
Натисніть кнопку  (Парам./Реєстр.).
2
Натисніть <Настройки>  <Мережа>  <Параметри TCP/IP>  <Параметри TLS>.
3
Натисніть <Ключ і сертифікат>.
4
Виберіть ключ і сертифікат для зашифрованого зв’язку за протоколом TLS і натисніть <Задати як ключ за замовчув.>  <Так>.
Щоб скористатися попередньо встановленим ключем і сертифікатом, виберіть <Default Key>.
Для зашифрованого зв’язку за протоколом TLS неможливо використовувати <Device Signature Key>, який використовується для підпису пристрою, або <AMS>, який потрібен для обмежень доступу.
5
Натисніть <OK>.
6
Натисніть <Указати дозв. версії>.
7
Укажіть значення <Максимальна версія> і <Мінімальна версія>  натисніть кнопку <OK>.
8
Виберіть параметри для кожного алгоритму.
9
Виберіть алгоритм, який слід використовувати, і  натисніть <OK>.
Приклад. Якщо вибрано значення <Параметри алгор. шифрув.>
Відображувані елементи можуть відрізнятися залежно від алгоритму.
Доступні зазначені нижче комбінації версії TLS і алгоритму.
: доступно
-: недоступно
Алгоритм
Версія TLS
<TLS 1.3>
<TLS 1.2>
<TLS 1.1>
<TLS 1.0>
<Параметри алгор. шифрув.>
<AES-CBC (256-розрядн.)>
-
<AES-GCM (256-розрядн.)>
-
-
<3DES-CBC>
-
<AES-CBC (128-розрядн.)>
-
<AES-GCM (128-розрядн.)>
-
-
<CHACHA20-POLY1305>
-
-
-
<Парам. алгор. обм. ключами>
<RSA>
-
<ECDHE>
<X25519>
-
-
-
<Параметри алгор. підпису>
<RSA>
<ECDSA>
<Параметри алгор. HMAC>
<SHA1>
-
<SHA256>
-
-
<SHA384>
-
-
10
Натисніть  (Парам./Реєстр.)  (Парам./Реєстр.)  <Заст. зміни парам.> <Так>.
Апарат перезапуститься, і буде застосовано параметри.
Запуск Remote UI (Інтерфейс віддаленого користувача) з TLS
Якщо спробувати запустити Remote UI (Інтерфейс віддаленого користувача), коли активовано TLS, може відображатися попередження безпеки щодо сертифіката безпеки. У такому випадку перевірте правильність введеної URL у полі адреси, а потім перейдіть до екрана Remote UI (Інтерфейс віддаленого користувача). Запуск Remote UI (Інтерфейс віддаленого користувача)

Встановлення рівня безпеки та методу шифрування

1
Натисніть  (Парам./Реєстр.).
2
Натисніть <Параметри керування>  <Параметри безпеки>  <Параметри шифрування>.
3
Налаштуйте параметри шифрування та метод шифрування.
<Заборонити використання ненадійного шифрування>
Установіть <Увімк.>, щоб заборонити використання слабкого шифрування з довжиною ключа 1024 біти або менше. Щоб заборонити використання ключів і сертифікатів, які використовують слабке шифрування, встановіть <Заборонити викор. ключа/сертиф. з ненад. шифр.> на значення <Увімк.>.
<Форматувати метод шифрування до FIPS 140-2>
Установіть <Увімк.> щоб функції, які використовують шифрування, відповідали стандарту безпеки FIPS 140-2.
Якщо встановити для параметра <Форматувати метод шифрування до FIPS 140-2> значення <Увімк.>, можна зробити так, щоб метод шифрування зв'язку TLS відповідав вимогам затвердженого урядом США стандарту FIPS (Федеральні стандарти обробки інформації) 1402, але при цьому будуть застосовуватися наступні обмеження.
Якщо вказати сертифікат для TLS, який використовує алгоритм, що не був затверджений стандартом FIPS (нижче RSA2048bit), виникне помилка.
Якщо пункт призначення зв'язку не підтримує алгоритми шифрування, затверджений стандартом FIPS, виникне помилка зв'язку.
<CHACHA20-POLY1305> і <X25519> більше не можна використовувати.
ALL0-0E6